En septiembre del año pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), que rara vez emite directrices sobre vulnerabilidades específicas, solicitó a las agencias gubernamentales que usan Active Directory de Microsoft Windows en sus redes que parchearan de inmediato todos los controladores de dominio. El motivo está relacionado con la vulnerabilidad CVE-2020-1472 en el protocolo Netlogon, denominada Zerologon.
10.0 en la escala de riesgo
La vulnerabilidad Zerologon proviene de un algoritmo cifrado poco fiable en el mecanismo de autenticación de Netlogon. Permite que un intruso que se haya conectado a la red corporativa o que haya infectado una computadora para este ataque y, en última instancia, tome el control de un controlador de dominio.
La vulnerabilidad recibe el valor máximo de la escala CVSSv3, 10.0. Microsoft lanzó un parche en agosto, pero fue un estudio en profundidad de la firma holandesa de ciberseguridad Secura lo que puso el centro de atención sobre Zerologon y su explotación. A las pocas horas de la publicación del documento, los investigadores comenzaron a publicar sus propias pruebas de concepto (PoC). En unos pocos días, al menos cuatro muestras de código abierto estaban disponibles en GitHub, las cuales demostraban cómo se podría utilizar realmente la vulnerabilidad.
Zerologon en ataques reales
Por supuesto, las PoC disponibles públicamente atrajeron la atención no solo de los expertos en seguridad de la información, sino también de los cibercriminales, quienes solo tenían que cortar y pegar el código en su malware. Por ejemplo, a principios de octubre, Microsoft informó de los intentos del grupo TA505 de explotar Zerologon. Los cibercriminales disfrazaron el malware como una actualización de software y compilaron herramientas de ataque en las computadoras infectadas para aprovechar la vulnerabilidad.
Otro grupo, el que está detrás del ransomware Ryuk, usó Zerologon para infectar toda la red local de una empresa en solo cinco horas. Después de enviar a un empleado un correo electrónico de phishing estándar, el grupo esperó a que hiciera clic en él y se infectara la computadora; después utilizó Zerologon para moverse lateralmente a través de la red, distribuyendo un archivo ejecutable de ransomware a todos los servidores y estaciones de trabajo.
Por qué Zerologon es peligroso
Puede parecer que la explotación de Zerologon requiere un ataque a un controlador de dominio desde la red local. Sin embargo, los cibercriminales han podido superar este obstáculo utilizando varios métodos para secuestrar una computadora en la red. Estos incluyen el uso de phishing, ataques a la cadena de suministro e incluso conectores de red desatendidos en áreas para visitantes. Las conexiones remotas (que casi todas las empresas usan estos días) suponen un problema adicional, sobre todo si los empleados pueden conectarse a los recursos corporativos desde sus propios dispositivos.
El principal problema con Zerologon (y otras vulnerabilidades hipotéticas de este tipo) es que su explotación parece un intercambio de datos estándar entre una computadora en la red y un controlador de dominio; solo la inusual intensidad del intercambio podría levantar sospechas. Dicho esto, las empresas que dependen únicamente de las soluciones de seguridad de endpoints tienen pocas probabilidades de detectar estos ataques.
Es mejor delegar la tarea de la gestión de anomalías a servicios especializados como Kaspersky Managed Detection and Response (MDR). Este es un centro de seguridad externo con un conocimiento profundo de las tácticas de los cibercriminales, el cual brinda una serie de recomendaciones prácticas detalladas al cliente.
La solución tiene dos niveles: MDR óptimo y MDR experto. Tan pronto como se publicaron los detalles de Zerologon, los expertos de Kaspersky SOC comenzaron a rastrear los intentos de explotación de la vulnerabilidad dentro del servicio MDR, lo que garantiza que ambas versiones de Kaspersky Managed Detection and Response puedan combatir esta amenaza.
Kaspersky Managed Detection and Response forma parte de Kaspersky Optimum Security. Para más información sobre la solución, consulta la página de Kaspersky MDR.